资源预览内容
第1页 / 共65页
第2页 / 共65页
第3页 / 共65页
第4页 / 共65页
第5页 / 共65页
第6页 / 共65页
第7页 / 共65页
第8页 / 共65页
第9页 / 共65页
第10页 / 共65页
亲,该文档总共65页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
1企业网络安全设计:案例分析企业网络安全设计:案例分析2内容内容l l案例介绍案例介绍l l安全评估安全评估l l安全方案设计安全方案设计3伟达投资伟达投资l l伟达(中国)投资有限公司是一家全球伟达(中国)投资有限公司是一家全球500强的跨国能源集团在华的独资企业,从事太强的跨国能源集团在华的独资企业,从事太阳能,电力,石油,化工,相关销售等项目阳能,电力,石油,化工,相关销售等项目等的公司。等的公司。 l l伟达(中国)投资有限公司总部设在上海外伟达(中国)投资有限公司总部设在上海外滩,上海总部有滩,上海总部有200名员工,并在北京拥有名员工,并在北京拥有1家分公司,员工约家分公司,员工约100人。人。 4伟达投资的组织结构伟达投资的组织结构上海总部 (200人)行政部人力资源部管理部公共关系部固定资产部采购部IT总部市场部销售部北京分公司(100人)行政部财务部人力资源部管理部销售市场部IT管理部太阳能部质量控制部法律事务部 5伟达投资的发展伟达投资的发展l l伟达(中国)公司从伟达(中国)公司从伟达(中国)公司从伟达(中国)公司从19851985年成立,经历了一个飞速的发展年成立,经历了一个飞速的发展年成立,经历了一个飞速的发展年成立,经历了一个飞速的发展过程,特别是过程,特别是过程,特别是过程,特别是9090年代起收购了多家国内知名的的公司,而年代起收购了多家国内知名的的公司,而年代起收购了多家国内知名的的公司,而年代起收购了多家国内知名的的公司,而且在中国一直与政府及大型能源企业都有全面的合作。公且在中国一直与政府及大型能源企业都有全面的合作。公且在中国一直与政府及大型能源企业都有全面的合作。公且在中国一直与政府及大型能源企业都有全面的合作。公司营业额在司营业额在司营业额在司营业额在5 5年间增长了年间增长了年间增长了年间增长了1010倍,目前在国内的主要大城市都倍,目前在国内的主要大城市都倍,目前在国内的主要大城市都倍,目前在国内的主要大城市都有分公司和代表处,基于上述的业务增长,员工人数也增有分公司和代表处,基于上述的业务增长,员工人数也增有分公司和代表处,基于上述的业务增长,员工人数也增有分公司和代表处,基于上述的业务增长,员工人数也增加了加了加了加了8 8倍。倍。倍。倍。l l但是公司的急速扩张造成了公司但是公司的急速扩张造成了公司但是公司的急速扩张造成了公司但是公司的急速扩张造成了公司ITIT管理部门的巨大工作压管理部门的巨大工作压管理部门的巨大工作压管理部门的巨大工作压力,公司原有的力,公司原有的力,公司原有的力,公司原有的ITIT管理构架早已不堪重负。于是在管理构架早已不堪重负。于是在管理构架早已不堪重负。于是在管理构架早已不堪重负。于是在20012001年年年年初,公司对伟达(中国)的整个网络系统进行了一次重大初,公司对伟达(中国)的整个网络系统进行了一次重大初,公司对伟达(中国)的整个网络系统进行了一次重大初,公司对伟达(中国)的整个网络系统进行了一次重大升级,升级,升级,升级, 包括增加网络带宽,更换核心设备,包括增加网络带宽,更换核心设备,包括增加网络带宽,更换核心设备,包括增加网络带宽,更换核心设备, 并将整个系统并将整个系统并将整个系统并将整个系统从从从从Windows NT4Windows NT4平台全部迁移到了平台全部迁移到了平台全部迁移到了平台全部迁移到了Windows2000Windows2000平台并平台并平台并平台并采用了活动目录服务,采用了活动目录服务,采用了活动目录服务,采用了活动目录服务, 以提高整个网络系统的可用性和可以提高整个网络系统的可用性和可以提高整个网络系统的可用性和可以提高整个网络系统的可用性和可管理性。管理性。管理性。管理性。 6伟达的网络拓扑结构伟达的网络拓扑结构7风险风险l l但是,由于太多的日常维护工作而忽略了系但是,由于太多的日常维护工作而忽略了系统策略及安全政策的制订及执行不力,管理统策略及安全政策的制订及执行不力,管理员的日常维护工作又没有标准可循,系统及员的日常维护工作又没有标准可循,系统及数据备份也是根本没有考虑到灾难恢复,经数据备份也是根本没有考虑到灾难恢复,经常会有一些系统安全问题暴露出来。常会有一些系统安全问题暴露出来。 8危机!危机!l l该公司网站使用该公司网站使用该公司网站使用该公司网站使用Windows 2000Windows 2000上的上的上的上的IISIIS作为对外的作为对外的作为对外的作为对外的WEBWEB服服服服务器,该网站务器,该网站务器,该网站务器,该网站WEBWEB服务器负责公司的信息提供和电子商务。服务器负责公司的信息提供和电子商务。服务器负责公司的信息提供和电子商务。服务器负责公司的信息提供和电子商务。在外网上部署了硬件防火墙,只允许到服务器在外网上部署了硬件防火墙,只允许到服务器在外网上部署了硬件防火墙,只允许到服务器在外网上部署了硬件防火墙,只允许到服务器TCP 80TCP 80端口端口端口端口的访问。的访问。的访问。的访问。l l但是在但是在但是在但是在1212月月月月2121日上午,一个客户发邮件通知公司网站管理日上午,一个客户发邮件通知公司网站管理日上午,一个客户发邮件通知公司网站管理日上午,一个客户发邮件通知公司网站管理员李勇,说该公司网站的首页被人修改,同时被发布到国员李勇,说该公司网站的首页被人修改,同时被发布到国员李勇,说该公司网站的首页被人修改,同时被发布到国员李勇,说该公司网站的首页被人修改,同时被发布到国内的某黑客论坛,介绍入侵的时间和内容。内的某黑客论坛,介绍入侵的时间和内容。内的某黑客论坛,介绍入侵的时间和内容。内的某黑客论坛,介绍入侵的时间和内容。l l李勇立刻查看网站服务器,除了网站首页被更改,而且发李勇立刻查看网站服务器,除了网站首页被更改,而且发李勇立刻查看网站服务器,除了网站首页被更改,而且发李勇立刻查看网站服务器,除了网站首页被更改,而且发现任务列表中存在未知可疑进程,并且不能杀死。同时发现任务列表中存在未知可疑进程,并且不能杀死。同时发现任务列表中存在未知可疑进程,并且不能杀死。同时发现任务列表中存在未知可疑进程,并且不能杀死。同时发现网站数据库服务器有人正在拷贝数据!现网站数据库服务器有人正在拷贝数据!现网站数据库服务器有人正在拷贝数据!现网站数据库服务器有人正在拷贝数据!l l李勇及时断开数据服务器,利用备份程序及时恢复网站服李勇及时断开数据服务器,利用备份程序及时恢复网站服李勇及时断开数据服务器,利用备份程序及时恢复网站服李勇及时断开数据服务器,利用备份程序及时恢复网站服务器内容,但是没有过了半小时,又出现类似情况,李勇务器内容,但是没有过了半小时,又出现类似情况,李勇务器内容,但是没有过了半小时,又出现类似情况,李勇务器内容,但是没有过了半小时,又出现类似情况,李勇紧急通知紧急通知紧急通知紧急通知ITIT管理人员王勇,告知该情况,于是王勇联系总管理人员王勇,告知该情况,于是王勇联系总管理人员王勇,告知该情况,于是王勇联系总管理人员王勇,告知该情况,于是王勇联系总部指定的安全服务提供商维康安全有限公司部指定的安全服务提供商维康安全有限公司部指定的安全服务提供商维康安全有限公司部指定的安全服务提供商维康安全有限公司 9问题!问题!经过初步安全检查,发现以下问题:经过初步安全检查,发现以下问题:经过初步安全检查,发现以下问题:经过初步安全检查,发现以下问题:l l邮件服务器没有防病毒扫描模块;邮件服务器没有防病毒扫描模块;邮件服务器没有防病毒扫描模块;邮件服务器没有防病毒扫描模块;l l客户端有客户端有客户端有客户端有W32/MydoomMMW32/MydoomMM邮件病毒问题邮件病毒问题邮件病毒问题邮件病毒问题l l路由器密码缺省没有修改过,非常容易被人攻击;路由器密码缺省没有修改过,非常容易被人攻击;路由器密码缺省没有修改过,非常容易被人攻击;路由器密码缺省没有修改过,非常容易被人攻击;l l网站服务器系统没有安装最新微软补丁网站服务器系统没有安装最新微软补丁网站服务器系统没有安装最新微软补丁网站服务器系统没有安装最新微软补丁l l没有移除不需要的功能组件;没有移除不需要的功能组件;没有移除不需要的功能组件;没有移除不需要的功能组件;l l用户访问没有设置复杂密码验证,利用字典攻击,非常容用户访问没有设置复杂密码验证,利用字典攻击,非常容用户访问没有设置复杂密码验证,利用字典攻击,非常容用户访问没有设置复杂密码验证,利用字典攻击,非常容易猜出用户名和密码,同时分厂员工对于网站访问只使用易猜出用户名和密码,同时分厂员工对于网站访问只使用易猜出用户名和密码,同时分厂员工对于网站访问只使用易猜出用户名和密码,同时分厂员工对于网站访问只使用了简单密码验证,容易被人嗅听到密码。了简单密码验证,容易被人嗅听到密码。了简单密码验证,容易被人嗅听到密码。了简单密码验证,容易被人嗅听到密码。l l数据库系统数据库系统数据库系统数据库系统SQL 2000 SASQL 2000 SA用户缺省没有设置密码;用户缺省没有设置密码;用户缺省没有设置密码;用户缺省没有设置密码;l l数据库系统数据库系统数据库系统数据库系统SQL 2000 SQL 2000 没有安装任何补丁程序没有安装任何补丁程序没有安装任何补丁程序没有安装任何补丁程序 10亡羊补牢亡羊补牢l l王勇看到方明的报告非常吃惊,急忙上告公王勇看到方明的报告非常吃惊,急忙上告公司司CIO余鸣,介绍公司网络安全状况,同时余鸣,介绍公司网络安全状况,同时提及如果不及时解决公司安全问题,可能会提及如果不及时解决公司安全问题,可能会造成非常大的经济和声誉上的影响。造成非常大的经济和声誉上的影响。l l12月月22日上午,伟达公司立即召开紧急会议日上午,伟达公司立即召开紧急会议商讨此事,商讨此事, 希望籍此吸取教训,彻底整改,希望籍此吸取教训,彻底整改,在进行安全风险评估的基础上,全面提高企在进行安全风险评估的基础上,全面提高企业网络安全性。业网络安全性。11用户的目标用户的目标l l“ “我们做了尽可能多的工作,努力提我们的响应速度,缩短解决问题我们做了尽可能多的工作,努力提我们的响应速度,缩短解决问题我们做了尽可能多的工作,努力提我们的响应速度,缩短解决问题我们做了尽可能多的工作,努力提我们的响应速度,缩短解决问题的时间,但是很多情况下我们总是在问题出现了之后才开始解决,在的时间,但是很多情况下我们总是在问题出现了之后才开始解决,在的时间,但是很多情况下我们总是在问题出现了之后才开始解决,在的时间,但是很多情况下我们总是在问题出现了之后才开始解决,在这种情况下我们很难及时解决问题,每次都会有一天到两天大部份系这种情况下我们很难及时解决问题,每次都会有一天到两天大部份系这种情况下我们很难及时解决问题,每次都会有一天到两天大部份系这种情况下我们很难及时解决问题,每次都会有一天到两天大部份系统不能使用,而且也无法对可能发生的问题做有效的估计统不能使用,而且也无法对可能发生的问题做有效的估计统不能使用,而且也无法对可能发生的问题做有效的估计统不能使用,而且也无法对可能发生的问题做有效的估计” ”李杰,伟李杰,伟李杰,伟李杰,伟达(中国)的达(中国)的达(中国)的达(中国)的ITIT服务中心经理抱怨说。服务中心经理抱怨说。服务中心经理抱怨说。服务中心经理抱怨说。l l“ “我们在很多方面的工作都很成功,但是就是由于这些网络上令人讨我们在很多方面的工作都很成功,但是就是由于这些网络上令人讨我们在很多方面的工作都很成功,但是就是由于这些网络上令人讨我们在很多方面的工作都很成功,但是就是由于这些网络上令人讨厌的病毒,造成了我们还是经常收到来自个方面的投诉,显然这不是厌的病毒,造成了我们还是经常收到来自个方面的投诉,显然这不是厌的病毒,造成了我们还是经常收到来自个方面的投诉,显然这不是厌的病毒,造成了我们还是经常收到来自个方面的投诉,显然这不是我们想看到的。我们需要严密的系统和严格的策略来保证我们业务系我们想看到的。我们需要严密的系统和严格的策略来保证我们业务系我们想看到的。我们需要严密的系统和严格的策略来保证我们业务系我们想看到的。我们需要严密的系统和严格的策略来保证我们业务系统的稳定性和可用性统的稳定性和可用性统的稳定性和可用性统的稳定性和可用性” ”伟达(中国)首席信息官(伟达(中国)首席信息官(伟达(中国)首席信息官(伟达(中国)首席信息官(CIOCIO)余鸣先生如是)余鸣先生如是)余鸣先生如是)余鸣先生如是说。说。说。说。l l“ “我们需要一个可靠、稳定、安全,易于管理和维护的我们需要一个可靠、稳定、安全,易于管理和维护的我们需要一个可靠、稳定、安全,易于管理和维护的我们需要一个可靠、稳定、安全,易于管理和维护的ITIT解决方案,解决方案,解决方案,解决方案,以及基于此方案的优秀以及基于此方案的优秀以及基于此方案的优秀以及基于此方案的优秀ITIT服务部门,用以支撑我们公司的运营,以及服务部门,用以支撑我们公司的运营,以及服务部门,用以支撑我们公司的运营,以及服务部门,用以支撑我们公司的运营,以及未来的发展。未来的发展。未来的发展。未来的发展。” ”公司总裁公司总裁公司总裁公司总裁(CEO)(CEO)张其军解释。张其军解释。张其军解释。张其军解释。 12风险评估风险评估13风险评估的一般过程风险评估的一般过程l l只有经过全面的风险评估过程,才能够有针对性地只有经过全面的风险评估过程,才能够有针对性地只有经过全面的风险评估过程,才能够有针对性地只有经过全面的风险评估过程,才能够有针对性地制定安全实施放案,选择合适的安全技术和产品。制定安全实施放案,选择合适的安全技术和产品。制定安全实施放案,选择合适的安全技术和产品。制定安全实施放案,选择合适的安全技术和产品。l l在风险评估过程,需要:在风险评估过程,需要:在风险评估过程,需要:在风险评估过程,需要:收集一切和网络安全相关的信息;收集一切和网络安全相关的信息;收集一切和网络安全相关的信息;收集一切和网络安全相关的信息;使用安全评测工具进行脆弱点检查;使用安全评测工具进行脆弱点检查;使用安全评测工具进行脆弱点检查;使用安全评测工具进行脆弱点检查;分析收集到的信息,定义威胁级别。分析收集到的信息,定义威胁级别。分析收集到的信息,定义威胁级别。分析收集到的信息,定义威胁级别。l l安全不是最终结果,而是一种过程或者一种状态。安全不是最终结果,而是一种过程或者一种状态。安全不是最终结果,而是一种过程或者一种状态。安全不是最终结果,而是一种过程或者一种状态。安全评估必须按照一定的周期不断进行,才能保证安全评估必须按照一定的周期不断进行,才能保证安全评估必须按照一定的周期不断进行,才能保证安全评估必须按照一定的周期不断进行,才能保证持续的安全。持续的安全。持续的安全。持续的安全。 14需要搜集的基本信息需要搜集的基本信息l企业信息:企业名称业务范围地理分布员工数量组织结构管理模式预期的增长或重组l网络:物理拓扑结构网络设备逻辑网络划分(活动目录结构)局域网结构广域网结构远程访问互联网接入网络协议类型主要网络流量防火墙和入侵检测系统l主机:服务器数量,名称,用途,分布服务器操作系统及版本用户身份验证方式工作站数量,用途和分布工作站操作系统及版本操作系统补丁部署防病毒部署主机防火墙计算机安全管理l安全管理:企业安全策略和声明物理安全管理员工安全培训安全响应机制安全需求和满足程度 15使用使用MBSAMBSA16评价风险评价风险问题严重程度问题严重程度问题严重程度问题严重程度定义定义定义定义建议建议建议建议5 5严重安全问题严重安全问题严重安全问题严重安全问题严重的安全漏洞,如果被利严重的安全漏洞,如果被利严重的安全漏洞,如果被利严重的安全漏洞,如果被利用会对业务产生严重的破坏用会对业务产生严重的破坏用会对业务产生严重的破坏用会对业务产生严重的破坏记录,评估,立即更改记录,评估,立即更改记录,评估,立即更改记录,评估,立即更改4 4高风险安全问题高风险安全问题高风险安全问题高风险安全问题严重的安全漏洞,如果被利严重的安全漏洞,如果被利严重的安全漏洞,如果被利严重的安全漏洞,如果被利用将用将用将用将/ /可能会对业务产生严重可能会对业务产生严重可能会对业务产生严重可能会对业务产生严重的影响的影响的影响的影响记录,评估,在记录,评估,在记录,评估,在记录,评估,在1515至至至至3030天内天内天内天内更改更改更改更改3 3中度风险的安全问题中度风险的安全问题中度风险的安全问题中度风险的安全问题中度风险的安全问题,可能中度风险的安全问题,可能中度风险的安全问题,可能中度风险的安全问题,可能会影响业务的进行或会影响业务的进行或会影响业务的进行或会影响业务的进行或纪录,评估,在纪录,评估,在纪录,评估,在纪录,评估,在9090天内改进天内改进天内改进天内改进2 2轻微风险的安全问题轻微风险的安全问题轻微风险的安全问题轻微风险的安全问题轻微风险的安全问题,不会轻微风险的安全问题,不会轻微风险的安全问题,不会轻微风险的安全问题,不会对业务带来直接的影响对业务带来直接的影响对业务带来直接的影响对业务带来直接的影响纪录,评估,在纪录,评估,在纪录,评估,在纪录,评估,在120120天内改进天内改进天内改进天内改进1 1安全建议安全建议安全建议安全建议不属于安全问题,但改进后不属于安全问题,但改进后不属于安全问题,但改进后不属于安全问题,但改进后可进一步提高安全可进一步提高安全可进一步提高安全可进一步提高安全记录,评估,在可行的情况记录,评估,在可行的情况记录,评估,在可行的情况记录,评估,在可行的情况下采用下采用下采用下采用17使用安全评测工具使用安全评测工具l l安全评测工具通过内置的已知漏洞和风险库,对指安全评测工具通过内置的已知漏洞和风险库,对指安全评测工具通过内置的已知漏洞和风险库,对指安全评测工具通过内置的已知漏洞和风险库,对指定的系统进行全面的扫描定的系统进行全面的扫描定的系统进行全面的扫描定的系统进行全面的扫描l l安全评测工具可以快速定位漏洞和风险安全评测工具可以快速定位漏洞和风险安全评测工具可以快速定位漏洞和风险安全评测工具可以快速定位漏洞和风险l lMBSAMBSA(Microsoft Baseline Security AnalyzerMicrosoft Baseline Security Analyzer,基准安全分析器)是微软提供的系统安全分析及,基准安全分析器)是微软提供的系统安全分析及,基准安全分析器)是微软提供的系统安全分析及,基准安全分析器)是微软提供的系统安全分析及解决工具。解决工具。解决工具。解决工具。l lMBSAMBSA可以对本机或者网络上的可以对本机或者网络上的可以对本机或者网络上的可以对本机或者网络上的Windows Windows NT/2000/XPNT/2000/XP的系统进行安全性检测,还可以检测的系统进行安全性检测,还可以检测的系统进行安全性检测,还可以检测的系统进行安全性检测,还可以检测其它的一些微软产品,诸如其它的一些微软产品,诸如其它的一些微软产品,诸如其它的一些微软产品,诸如SQL7.0/2000SQL7.0/2000、5.015.01以以以以上版本的上版本的上版本的上版本的Internet ExplorerInternet Explorer、IIS4.0/5.0/5.1IIS4.0/5.0/5.1和和和和Office2000/XPOffice2000/XP,并给出相应的解决方法。,并给出相应的解决方法。,并给出相应的解决方法。,并给出相应的解决方法。 18整理结果整理结果: :服务器端服务器端严重级别严重级别安全问题安全问题5 5 5 5没有安装没有安装没有安装没有安装sp2sp2之后最新的之后最新的之后最新的之后最新的HotfixHotfix3 3 3 3没有限制匿名用户对本地安全子系统的访问没有限制匿名用户对本地安全子系统的访问没有限制匿名用户对本地安全子系统的访问没有限制匿名用户对本地安全子系统的访问4 4 4 4没有制定密码策略没有制定密码策略没有制定密码策略没有制定密码策略 4 4 4 4没有定义账号锁定策略没有定义账号锁定策略没有定义账号锁定策略没有定义账号锁定策略3 3 3 3没有改变没有改变没有改变没有改变administratoradministrator账号以及配置该账号账号以及配置该账号账号以及配置该账号账号以及配置该账号4 4 4 4没有设置没有设置没有设置没有设置“ “允许从网络访问这台计算机允许从网络访问这台计算机允许从网络访问这台计算机允许从网络访问这台计算机“ “3 3 3 3删除不需要的协议,并且禁用删除不需要的协议,并且禁用删除不需要的协议,并且禁用删除不需要的协议,并且禁用NetBIOS over NetBIOS over TCP/IPTCP/IP4 4 4 4没有将所有日志的保存方法设为没有将所有日志的保存方法设为没有将所有日志的保存方法设为没有将所有日志的保存方法设为“ “按需要改按需要改按需要改按需要改写日志写日志写日志写日志” ”2 2 2 2事件日志文件使用缺省大小事件日志文件使用缺省大小事件日志文件使用缺省大小事件日志文件使用缺省大小3 3 3 3没有针对重要文件进行审核没有针对重要文件进行审核没有针对重要文件进行审核没有针对重要文件进行审核3 3 3 3“ “允许从网络访问这台计算机允许从网络访问这台计算机允许从网络访问这台计算机允许从网络访问这台计算机” ”的权限中有的权限中有的权限中有的权限中有everyoneeveryone组组组组3 3 3 3没有设置专职的信息安全管理人员没有设置专职的信息安全管理人员没有设置专职的信息安全管理人员没有设置专职的信息安全管理人员3 3 3 3缺少有效的备份计划和定期检查策略缺少有效的备份计划和定期检查策略缺少有效的备份计划和定期检查策略缺少有效的备份计划和定期检查策略4 4 4 4没有法律顾问没有法律顾问没有法律顾问没有法律顾问4 4 4 4没有应对紧急事件的机制没有应对紧急事件的机制没有应对紧急事件的机制没有应对紧急事件的机制4 4 4 4没有系统容错机制没有系统容错机制没有系统容错机制没有系统容错机制3 3 3 3没有详细的安全管理文档没有详细的安全管理文档没有详细的安全管理文档没有详细的安全管理文档4 4 4 4没有针对登录事件进行审核没有针对登录事件进行审核没有针对登录事件进行审核没有针对登录事件进行审核3 3 3 3没有针对没有针对没有针对没有针对DNSDNS服务器的传输进行安全有效验服务器的传输进行安全有效验服务器的传输进行安全有效验服务器的传输进行安全有效验证证证证3 3 3 3IISIIS服务器安装了太多的不需要组件,也没服务器安装了太多的不需要组件,也没服务器安装了太多的不需要组件,也没服务器安装了太多的不需要组件,也没有安装相关补丁程序有安装相关补丁程序有安装相关补丁程序有安装相关补丁程序4 4 4 4没有特权使用和策略更改的记录没有特权使用和策略更改的记录没有特权使用和策略更改的记录没有特权使用和策略更改的记录2 2 2 2没有监视相关服务器端口的机制没有监视相关服务器端口的机制没有监视相关服务器端口的机制没有监视相关服务器端口的机制3 3 3 3防火墙没有开启入侵检测防火墙没有开启入侵检测防火墙没有开启入侵检测防火墙没有开启入侵检测4 4 4 4没有利用组策略的安全模板进行配置没有利用组策略的安全模板进行配置没有利用组策略的安全模板进行配置没有利用组策略的安全模板进行配置4 4 4 4任何人能够进入电脑机房任何人能够进入电脑机房任何人能够进入电脑机房任何人能够进入电脑机房4 4 4 4没有安全管理的流程没有安全管理的流程没有安全管理的流程没有安全管理的流程3 3 3 3网站安全验证的功能太弱网站安全验证的功能太弱网站安全验证的功能太弱网站安全验证的功能太弱3 3 3 3Sql Sql 安全配置不足安全配置不足安全配置不足安全配置不足4 4 4 4存在网络病毒现象存在网络病毒现象存在网络病毒现象存在网络病毒现象4 4 4 4数据库权限没有严格限定条件数据库权限没有严格限定条件数据库权限没有严格限定条件数据库权限没有严格限定条件4 4 4 4文件服务器的分区格式采用文件服务器的分区格式采用文件服务器的分区格式采用文件服务器的分区格式采用FATFAT分区格式分区格式分区格式分区格式5 5 5 5企业邮件服务器没有安装邮件扫描插件企业邮件服务器没有安装邮件扫描插件企业邮件服务器没有安装邮件扫描插件企业邮件服务器没有安装邮件扫描插件19整理结果:工作站端整理结果:工作站端严重级别严重级别安全问题安全问题5 5 5 5没有安装操作系统补丁没有安装操作系统补丁没有安装操作系统补丁没有安装操作系统补丁3 3 3 3有的计算机没有加入域有的计算机没有加入域有的计算机没有加入域有的计算机没有加入域4 4 4 4没有离开计算机,锁定屏幕习惯没有离开计算机,锁定屏幕习惯没有离开计算机,锁定屏幕习惯没有离开计算机,锁定屏幕习惯 4 4 4 4没有定义账号锁定策略没有定义账号锁定策略没有定义账号锁定策略没有定义账号锁定策略3 3 3 3没有复杂密码习惯没有复杂密码习惯没有复杂密码习惯没有复杂密码习惯4 4 4 4安装不需要的网络协议安装不需要的网络协议安装不需要的网络协议安装不需要的网络协议3 3 3 3随意打开未知内容的邮件随意打开未知内容的邮件随意打开未知内容的邮件随意打开未知内容的邮件4 4 4 4自行下载网络软件,并进行安装自行下载网络软件,并进行安装自行下载网络软件,并进行安装自行下载网络软件,并进行安装2 2 2 2上非法网站导致上非法网站导致上非法网站导致上非法网站导致IEIE被修改被修改被修改被修改3 3 3 3不及时更新防病毒软件病毒库不及时更新防病毒软件病毒库不及时更新防病毒软件病毒库不及时更新防病毒软件病毒库3 3 3 3很多员工会把密码写到及时贴,放很多员工会把密码写到及时贴,放很多员工会把密码写到及时贴,放很多员工会把密码写到及时贴,放在电脑上在电脑上在电脑上在电脑上4 4 4 4随意将公司一些信息告知外来人员随意将公司一些信息告知外来人员随意将公司一些信息告知外来人员随意将公司一些信息告知外来人员4 4 4 4财务经理的笔记本电脑丢失,导致财务经理的笔记本电脑丢失,导致财务经理的笔记本电脑丢失,导致财务经理的笔记本电脑丢失,导致公司机密数据丢失。公司机密数据丢失。公司机密数据丢失。公司机密数据丢失。3 3 3 3公司电脑机箱被随意打开公司电脑机箱被随意打开公司电脑机箱被随意打开公司电脑机箱被随意打开5 5 5 5存在存在存在存在“ “W32/NimdaMM”W32/NimdaMM”的蠕虫病毒的蠕虫病毒的蠕虫病毒的蠕虫病毒20书写安全评估报告书写安全评估报告l l安全评估报告应该包含的部分:安全评估报告应该包含的部分:安全评估报告应该包含的部分:安全评估报告应该包含的部分:文档版本,完成时间,撰写和审核者;文档版本,完成时间,撰写和审核者;文档版本,完成时间,撰写和审核者;文档版本,完成时间,撰写和审核者;安全评估说明:安全审核的目的,客户,安全顾问提供者;安全评估说明:安全审核的目的,客户,安全顾问提供者;安全评估说明:安全审核的目的,客户,安全顾问提供者;安全评估说明:安全审核的目的,客户,安全顾问提供者;审核目标:审核范围和审核对象;审核目标:审核范围和审核对象;审核目标:审核范围和审核对象;审核目标:审核范围和审核对象;审核过程:审核工作开始和结束时间,审核使用的工具和手段,参审核过程:审核工作开始和结束时间,审核使用的工具和手段,参审核过程:审核工作开始和结束时间,审核使用的工具和手段,参审核过程:审核工作开始和结束时间,审核使用的工具和手段,参与者;与者;与者;与者;审核结果审核结果审核结果审核结果客户基本信息;客户基本信息;客户基本信息;客户基本信息;审核结果审核结果审核结果审核结果客户网络拓扑结构;客户网络拓扑结构;客户网络拓扑结构;客户网络拓扑结构;审核结果审核结果审核结果审核结果客户服务器信息;客户服务器信息;客户服务器信息;客户服务器信息;审核结果审核结果审核结果审核结果客户工作站信息;客户工作站信息;客户工作站信息;客户工作站信息;审核结果审核结果审核结果审核结果按照严重级别排列的威胁;按照严重级别排列的威胁;按照严重级别排列的威胁;按照严重级别排列的威胁;安全现状综合评价安全现状综合评价安全现状综合评价安全现状综合评价安全建议安全建议安全建议安全建议术语术语术语术语 21安全方案设计安全方案设计22定义企业安全策略定义企业安全策略l l企业安全策略定义企业网络安全的目标和范企业安全策略定义企业网络安全的目标和范围,即安全策略所要求保护的信息资产的组围,即安全策略所要求保护的信息资产的组成和安全策略所适用的范围。成和安全策略所适用的范围。 l l企业安全策略作为行为标准,定义信息系统企业安全策略作为行为标准,定义信息系统中用户的行为和动作是否可以接受。每一条中用户的行为和动作是否可以接受。每一条具体的策略都由政策、目的、范围、定义遵具体的策略都由政策、目的、范围、定义遵守和违背政策、违背策略的惩罚和结果等有守和违背政策、违背策略的惩罚和结果等有关的部分组成。这些策略会被作为整个企业关的部分组成。这些策略会被作为整个企业的政策分发到企业的所有组织,并且企业内的政策分发到企业的所有组织,并且企业内所有员工被强制要求必须内遵守。所有员工被强制要求必须内遵守。 23InternetInternet访问策略访问策略该策略用来明确每位员工在该策略用来明确每位员工在该策略用来明确每位员工在该策略用来明确每位员工在InternetInternet访问活动中应该访问活动中应该访问活动中应该访问活动中应该担负的责任,并不对企业造成危害。担负的责任,并不对企业造成危害。担负的责任,并不对企业造成危害。担负的责任,并不对企业造成危害。所有被允许能够进行所有被允许能够进行所有被允许能够进行所有被允许能够进行InternetInternet访问的员工必须在该文访问的员工必须在该文访问的员工必须在该文访问的员工必须在该文档上签名,然后才能给予访问权限。档上签名,然后才能给予访问权限。档上签名,然后才能给予访问权限。档上签名,然后才能给予访问权限。组成部分:组成部分:组成部分:组成部分:1 1、定义什么是、定义什么是、定义什么是、定义什么是InternetInternet访问行为访问行为访问行为访问行为2 2、定义责任、定义责任、定义责任、定义责任3 3、定义用户可以做什么,不可以做什么、定义用户可以做什么,不可以做什么、定义用户可以做什么,不可以做什么、定义用户可以做什么,不可以做什么4 4、如果用户违反该策略,相关部门会采取的行动、如果用户违反该策略,相关部门会采取的行动、如果用户违反该策略,相关部门会采取的行动、如果用户违反该策略,相关部门会采取的行动24安全管理安全管理l l在制定安全策略的基础上,企业内部应该成在制定安全策略的基础上,企业内部应该成立安全管理小组,包含相关人员,全面负责立安全管理小组,包含相关人员,全面负责安全管理,主要职责包括:安全管理,主要职责包括:安全策略制定和推广安全策略制定和推广安全策略制定和推广安全策略制定和推广进行定期的安全审核进行定期的安全审核进行定期的安全审核进行定期的安全审核安全事件响应安全事件响应安全事件响应安全事件响应安全技术选择和产品选购安全技术选择和产品选购安全技术选择和产品选购安全技术选择和产品选购员工安全培训员工安全培训员工安全培训员工安全培训取得行政和资金上的支持取得行政和资金上的支持取得行政和资金上的支持取得行政和资金上的支持内部和外部信息交流内部和外部信息交流内部和外部信息交流内部和外部信息交流25安全风险分析安全风险分析l l根据安全评估阶段提供的安全问题列表,按根据安全评估阶段提供的安全问题列表,按照严重级别进行排序,然后进行分析,步骤照严重级别进行排序,然后进行分析,步骤包括:包括:分析安全问题面临的风险;分析安全问题面临的风险;分析安全问题面临的风险;分析安全问题面临的风险;查找安全问题之间的关联性;查找安全问题之间的关联性;查找安全问题之间的关联性;查找安全问题之间的关联性;寻求解决方案。寻求解决方案。寻求解决方案。寻求解决方案。 26服务器安全问题(服务器安全问题(1 1)等级安全问题安全问题风险风险5系统中没有安装sp2之后最新的Hotfix系统存在严重的安全漏洞5企业邮件服务器没有安装邮件扫描插件病毒邮件的扩散,内部员工通过邮件向外发送企业机密数据4没有制定密码策略弱口令4没有定义账号锁定策略字典或暴力攻击3没有改变administrator账号以及配置该账号口令猜测4“允许从网络访问这台计算机”的权限中有everyone组从网络发起入侵4没有将所有日志的保存方法设为“按需要改写日志”日志不完整或日志伪造2事件日志文件使用缺省大小不完整记录或者日志伪造4没有法律顾问触犯法律或者不能及时得到法律支持27服务器安全问题(服务器安全问题(2 2)4没有系统容错机制系统容错能力脆弱4没有针对登录事件进行审核非法登录4没有策略更改的记录非法修改策略4没有利用组策略的安全模板进行配置分散的安全管理4任何人能够进入电脑机房物理安全威胁4没有安全管理的流程安全管理混乱,容易导致信息泄漏4没有应对紧急事件的机制延误时机,使安全破坏更为严重3没有设置专职的信息安全管理人员安全管理混乱3没有详细的安全管理文档安全管理混乱4存在网络病毒现象病毒扩散并难以清除4数据库权限没有严格限定条件非法防问4文件服务器的分区格式采用FAT分区格式没有本地安全性3没有限制匿名用户访问空会话威胁28服务器安全问题(服务器安全问题(3 3)3没有删除不需要的协议,并且禁用NetBIOS over TCP/IP存在潜在的协议漏洞3没有针对重要文件进行审核非法访问和修改3缺少有效的备份计划和定期检查策略灾难发生时无法从备份中恢复数据3没有针对DNS服务器的传输进行安全有效验证非法的区域传输3用户登录验证是明文传输网络窃听3IIS服务器安装了太多的不需要组件,也没有安装相关补丁程序存在严重漏洞,容易被黑客攻击3没有特权使用的记录非法特权使用3防火墙没有开启入侵检测漏洞扫描3Sql 安全配置不足存在可以被入侵者利用的漏洞2没有监视相关服务器端口的机制服务器可能被种植木马2SMTP服务器开启了relay 设置成为垃圾邮件中转站29工作站安全问题工作站安全问题级别级别安全问题安全问题风险风险5没有安装操作系统补丁存在严重漏洞4没有离开计算机,锁定屏幕习惯 被非法访问4没有定义账号锁定策略口令猜测4财务经理的笔记本电脑丢失,导致公司机密数据丢失。数据失窃4安装不需要的网络协议潜在的网络协议漏洞4自行下载网络软件,并进行安装感染病毒,木马,并导致系统不稳定3随意打开未知内容的邮件感染邮件病毒或木马4随意将公司一些信息告知外来人员泄露信息机密3很多员工会把密码写到及时贴,放在电脑上泄露信息机密3不及时更新防病毒软件病毒库感染病毒3公司电脑机箱被随意打开物理威胁3没有复杂密码习惯口令猜测攻击3有的计算机没有加入域无法进行集中管理,无法实现集中身份验证2部门管理人员放在我的文件夹中的数据不会自己备份数据丢失影响影响用户不能正常工作3Snmp的配置可以使用缺省用户探询信息导致公司相关设备信息丢失和一些配置信息被修改30安全设计安全设计31物理安全物理安全l l物理安全是整体安全策略的基石。保护企业服务器物理安全是整体安全策略的基石。保护企业服务器物理安全是整体安全策略的基石。保护企业服务器物理安全是整体安全策略的基石。保护企业服务器所在地点的物理安全是首要任务。所在地点的物理安全是首要任务。所在地点的物理安全是首要任务。所在地点的物理安全是首要任务。l l保护范围包括在办公楼内的服务器机房或整个数据保护范围包括在办公楼内的服务器机房或整个数据保护范围包括在办公楼内的服务器机房或整个数据保护范围包括在办公楼内的服务器机房或整个数据中心。还应该注意进入办公楼的入口。如果有人随中心。还应该注意进入办公楼的入口。如果有人随中心。还应该注意进入办公楼的入口。如果有人随中心。还应该注意进入办公楼的入口。如果有人随便可以进入办公楼内,那么他们即使无法登录到网便可以进入办公楼内,那么他们即使无法登录到网便可以进入办公楼内,那么他们即使无法登录到网便可以进入办公楼内,那么他们即使无法登录到网络,也会有许多机会发起攻击。攻击包括:络,也会有许多机会发起攻击。攻击包括:络,也会有许多机会发起攻击。攻击包括:络,也会有许多机会发起攻击。攻击包括: 拒绝服务(例如,将一台膝上型电脑插入网络作为一个拒绝服务(例如,将一台膝上型电脑插入网络作为一个拒绝服务(例如,将一台膝上型电脑插入网络作为一个拒绝服务(例如,将一台膝上型电脑插入网络作为一个 DHCP DHCP 服务器,或者切断服务器电源)服务器,或者切断服务器电源)服务器,或者切断服务器电源)服务器,或者切断服务器电源) 数据窃取(例如,偷窃膝上型电脑或嗅探内部网络的数数据窃取(例如,偷窃膝上型电脑或嗅探内部网络的数数据窃取(例如,偷窃膝上型电脑或嗅探内部网络的数数据窃取(例如,偷窃膝上型电脑或嗅探内部网络的数据包)据包)据包)据包) 运行恶意代码(例如在内部启动蠕虫程序,散播病毒)运行恶意代码(例如在内部启动蠕虫程序,散播病毒)运行恶意代码(例如在内部启动蠕虫程序,散播病毒)运行恶意代码(例如在内部启动蠕虫程序,散播病毒) 窃取关键的安全信息(例如备份磁带、操作手册和网络窃取关键的安全信息(例如备份磁带、操作手册和网络窃取关键的安全信息(例如备份磁带、操作手册和网络窃取关键的安全信息(例如备份磁带、操作手册和网络图,员工通信录)图,员工通信录)图,员工通信录)图,员工通信录) 32防止信息泄露防止信息泄露l l攻击者总是要挖空心思找到有关企业网络环境的信息。信攻击者总是要挖空心思找到有关企业网络环境的信息。信攻击者总是要挖空心思找到有关企业网络环境的信息。信攻击者总是要挖空心思找到有关企业网络环境的信息。信息本身有时非常有用,但有的时候,它也是获取进一步信息本身有时非常有用,但有的时候,它也是获取进一步信息本身有时非常有用,但有的时候,它也是获取进一步信息本身有时非常有用,但有的时候,它也是获取进一步信息和资源的一种手段。息和资源的一种手段。息和资源的一种手段。息和资源的一种手段。 l l防范信息收集的关键是限制外界对您的资源进行未经授权防范信息收集的关键是限制外界对您的资源进行未经授权防范信息收集的关键是限制外界对您的资源进行未经授权防范信息收集的关键是限制外界对您的资源进行未经授权的访问。确保这种防范效果的方法包括(但是不限于):的访问。确保这种防范效果的方法包括(但是不限于):的访问。确保这种防范效果的方法包括(但是不限于):的访问。确保这种防范效果的方法包括(但是不限于): 确保网络上只有那些已标识的特定设备能够建立远程访问连接。确保网络上只有那些已标识的特定设备能够建立远程访问连接。确保网络上只有那些已标识的特定设备能够建立远程访问连接。确保网络上只有那些已标识的特定设备能够建立远程访问连接。 在通过外部防火墙直接连接在通过外部防火墙直接连接在通过外部防火墙直接连接在通过外部防火墙直接连接 Internet Internet 的计算机上关闭的计算机上关闭的计算机上关闭的计算机上关闭TCP/IP TCP/IP 上的上的上的上的 NetBIOSNetBIOS,包括端口,包括端口,包括端口,包括端口 135135、137137、139 139 和和和和 445445。 对于对于对于对于WebWeb服务器,在防火墙或者服务器上仅启用端口服务器,在防火墙或者服务器上仅启用端口服务器,在防火墙或者服务器上仅启用端口服务器,在防火墙或者服务器上仅启用端口 80 80 和和和和 443443。审查企业对外网站上的信息以确保:审查企业对外网站上的信息以确保:审查企业对外网站上的信息以确保:审查企业对外网站上的信息以确保: l l该站点上使用的电子邮件地址不是管理员帐户。该站点上使用的电子邮件地址不是管理员帐户。该站点上使用的电子邮件地址不是管理员帐户。该站点上使用的电子邮件地址不是管理员帐户。 l l没有透露网络技术没有透露网络技术没有透露网络技术没有透露网络技术 审查员工向新闻组和论坛张贴的内容,避免暴露企业内部信息,包审查员工向新闻组和论坛张贴的内容,避免暴露企业内部信息,包审查员工向新闻组和论坛张贴的内容,避免暴露企业内部信息,包审查员工向新闻组和论坛张贴的内容,避免暴露企业内部信息,包括管理员在技术论坛上求助技术问题。括管理员在技术论坛上求助技术问题。括管理员在技术论坛上求助技术问题。括管理员在技术论坛上求助技术问题。 审查为一般公众提供的信息有没有您的审查为一般公众提供的信息有没有您的审查为一般公众提供的信息有没有您的审查为一般公众提供的信息有没有您的 IP IP 地址和域名注册信息。地址和域名注册信息。地址和域名注册信息。地址和域名注册信息。 确保攻击者无法通过对确保攻击者无法通过对确保攻击者无法通过对确保攻击者无法通过对DNSDNS服务器执行区域传输。通过转储服务器执行区域传输。通过转储服务器执行区域传输。通过转储服务器执行区域传输。通过转储 DNS DNS 中的所有记录,攻击者可以清楚地发现最易于攻击的计算机。中的所有记录,攻击者可以清楚地发现最易于攻击的计算机。中的所有记录,攻击者可以清楚地发现最易于攻击的计算机。中的所有记录,攻击者可以清楚地发现最易于攻击的计算机。 减少服务器暴露的技术细节,修改减少服务器暴露的技术细节,修改减少服务器暴露的技术细节,修改减少服务器暴露的技术细节,修改WebWeb服务,服务,服务,服务,SMTPSMTP服务的旗标。服务的旗标。服务的旗标。服务的旗标。 33规划网络安全规划网络安全l l将企业网络划分和定义为以下几部分:将企业网络划分和定义为以下几部分:内部网络内部网络内部网络内部网络需要被外部访问的企业网络(停火区,需要被外部访问的企业网络(停火区,需要被外部访问的企业网络(停火区,需要被外部访问的企业网络(停火区,DMZDMZ)商业伙伴的网络商业伙伴的网络商业伙伴的网络商业伙伴的网络远程访问(远程机构或者用户)远程访问(远程机构或者用户)远程访问(远程机构或者用户)远程访问(远程机构或者用户)InternetInternetl l在防火墙,路由器上进行访问控制和隔离在防火墙,路由器上进行访问控制和隔离l l使用基于网络和基于主机的入侵监测系统,使用基于网络和基于主机的入侵监测系统,提供预警机制,最好能够和防火墙联动。提供预警机制,最好能够和防火墙联动。34l l防火墙防火墙防火墙防火墙近乎线性的吞吐速度,在近乎线性的吞吐速度,在近乎线性的吞吐速度,在近乎线性的吞吐速度,在HTTPHTTP吞吐量测试方吞吐量测试方吞吐量测试方吞吐量测试方面,面,面,面,ISA ServerISA Server的吞吐量保持为每秒的吞吐量保持为每秒的吞吐量保持为每秒的吞吐量保持为每秒1.59 GB1.59 GB应用层性能最好的防火墙应用层性能最好的防火墙应用层性能最好的防火墙应用层性能最好的防火墙( (数据来源:数据来源:数据来源:数据来源:http:/www.networkcomputing.com/1405/1405f3.htmlhttp:/www.networkcomputing.com/1405/1405f3.html ) )单台服务器可以处理单台服务器可以处理单台服务器可以处理单台服务器可以处理48,00048,000个并发连接个并发连接个并发连接个并发连接l l缓存缓存缓存缓存极大改善了带宽的利用效率和极大改善了带宽的利用效率和极大改善了带宽的利用效率和极大改善了带宽的利用效率和WebWeb内容的响应时间内容的响应时间内容的响应时间内容的响应时间在最近由在最近由在最近由在最近由The Measurement FactoryThe Measurement Factory进行的缓存产品进行的缓存产品进行的缓存产品进行的缓存产品评比中,赢得了价格评比中,赢得了价格评比中,赢得了价格评比中,赢得了价格/ /性能比项目的第一性能比项目的第一性能比项目的第一性能比项目的第一 ( (数据来源:数据来源:数据来源:数据来源:http:/www.measurement-factory.com/results/http:/www.measurement-factory.com/results/ ) )l l应用层的精细控制上网行为和丰富的拓展应用层的精细控制上网行为和丰富的拓展应用层的精细控制上网行为和丰富的拓展应用层的精细控制上网行为和丰富的拓展允许管理员控制上网行为和为紧急任务分配较高的带宽优先级允许管理员控制上网行为和为紧急任务分配较高的带宽优先级允许管理员控制上网行为和为紧急任务分配较高的带宽优先级允许管理员控制上网行为和为紧急任务分配较高的带宽优先级ISA ServerISA Server:WindowsWindows平台上的最佳防平台上的最佳防火墙火墙35FirewallFirewallInternetInternetInternet应用案例 - - 小型网络或分公司的配置企业內部网络企业內部网络l lAccess Policy rules - Access Policy rules - IPIP包包, , 应应用用程序程序, , 用户用户, , 组等的访问策略组等的访问策略l lBandwidth rules Bandwidth rules - - 不同不同Internet requestInternet request所分配不同带宽的规则所分配不同带宽的规则l lPublishing rules - Publishing rules - 将将Internet服务服务( (如如web,ftp,mail)透过防火墙 的保护发布給外网用户lIntrusion Detection - 防火墙入侵监测lMonitor and Logging 进出流量分析与报表lWeb 缓存缓存-所有放火墙的安全策存内容略会被自动应用到缓存内容之上所有放火墙的安全策存内容略会被自动应用到缓存内容之上所有放火墙的安全策存内容略会被自动应用到缓存内容之上所有放火墙的安全策存内容略会被自动应用到缓存内容之上36实施案例实施案例北京市环保局北京市环保局InternetISA Server100100台工作站台工作站台工作站台工作站ISA Server 2000ISA Server 2000TrendMicro InterScanTrendMicro InterScan37DMZDMZ方式方式1: 1: 一个防火墙连接一个防火墙连接3 3个个网络网络 (3-homed)(3-homed)InternetInternet内部网络内部网络内部网络内部网络DMZDMZ区区区区ISAISA服务器服务器服务器服务器38实施案例实施案例-新晨集团新晨集团(www.brilliance.com.cn)(www.brilliance.com.cn)ISA Server 2000InternetInternal NetworkPerimeter NetworkMail Server & DNSMail Server & DNSWeb ServerWeb Server39应用范例 广域广域网络络的配置总部总部总部总部分支机构分支机构分支机构分支机构ISAISAISPISPl l加速分支机构的访问速度加速分支机构的访问速度加速分支机构的访问速度加速分支机构的访问速度(chain (chain 的部署)的部署)的部署)的部署)l l实现内部的安全控制(不同部门和网络之间部署防火墙实现内部的安全控制(不同部门和网络之间部署防火墙实现内部的安全控制(不同部门和网络之间部署防火墙实现内部的安全控制(不同部门和网络之间部署防火墙) )l l统一的策略管理统一的策略管理统一的策略管理统一的策略管理40DMZDMZ方式方式2: 2: “背靠背背靠背”模式模式InternetInternet内部网内部网内部网内部网DMZ DMZ 区区区区Web Web 服务器服务器服务器服务器数据库服务器数据库服务器数据库服务器数据库服务器ISAISA服务器服务器服务器服务器ISAISA服务器服务器服务器服务器41InternetISA Server阵列阵列FireWall(硬件)DMZ内部网内部网(2000+工作站工作站)实施案例实施案例 中国农业部信息中心中国农业部信息中心42复杂网络中复杂网络中ISAISA的配置的配置l l多个多个VLAN,基于第三层交换基于第三层交换l lISA Server作为交换机的默认网关作为交换机的默认网关l l设置静态路由设置静态路由l l扩大扩大LAT范围范围43实施案例实施案例-北京许继电气北京许继电气44ISAISA和和VPNVPN在远程网络的部署在远程网络的部署Internet远程客户端远程客户端远程客户端远程客户端VPN VPN 服务器服务器服务器服务器远程网络远程网络远程网络远程网络ISAISA服务服务服务服务器器器器WebWeb服务器服务器服务器服务器l l可以选择让可以选择让VPN服务器和服务器和 ISA安装在同一台安装在同一台机器上或分开机器上或分开45实施案例实施案例-北京市某旅游部门IDC机房机房/固定固定IPVPNVPNOffice-1Office-2Office-3拨号线路InternetInternetInternet46规划系统安全规划系统安全 l l操作系统加固操作系统加固操作系统加固操作系统加固去除非必要服务和组件去除非必要服务和组件去除非必要服务和组件去除非必要服务和组件去除非必要网络协议去除非必要网络协议去除非必要网络协议去除非必要网络协议应用预定义安全模板应用预定义安全模板应用预定义安全模板应用预定义安全模板l l软硬件供应商对于自己的产品,一般都提供了安全配置文软硬件供应商对于自己的产品,一般都提供了安全配置文软硬件供应商对于自己的产品,一般都提供了安全配置文软硬件供应商对于自己的产品,一般都提供了安全配置文档。微软提供了丰富和翔实的产品安全配置指南,管理员档。微软提供了丰富和翔实的产品安全配置指南,管理员档。微软提供了丰富和翔实的产品安全配置指南,管理员档。微软提供了丰富和翔实的产品安全配置指南,管理员只需遵照执行,即能提供高应用系统的安全性。只需遵照执行,即能提供高应用系统的安全性。只需遵照执行,即能提供高应用系统的安全性。只需遵照执行,即能提供高应用系统的安全性。http:/www.microsoft.com/technet/security/prodtehttp:/www.microsoft.com/technet/security/prodtech/default.aspch/default.asp 47用户帐号策略用户帐号策略l l几乎所有的企业都通过用户帐户名称和账户口令的方法来几乎所有的企业都通过用户帐户名称和账户口令的方法来几乎所有的企业都通过用户帐户名称和账户口令的方法来几乎所有的企业都通过用户帐户名称和账户口令的方法来提供身份验证和访问限制。因此帐户安全性是企业安全的提供身份验证和访问限制。因此帐户安全性是企业安全的提供身份验证和访问限制。因此帐户安全性是企业安全的提供身份验证和访问限制。因此帐户安全性是企业安全的基础。基础。基础。基础。l l一定要设定口令最低长度,复杂性要求,口令定期修改,一定要设定口令最低长度,复杂性要求,口令定期修改,一定要设定口令最低长度,复杂性要求,口令定期修改,一定要设定口令最低长度,复杂性要求,口令定期修改,帐号锁定策略。帐号锁定策略。帐号锁定策略。帐号锁定策略。l l管理员帐户和口令策略:管理员帐户和口令策略:管理员帐户和口令策略:管理员帐户和口令策略:不要为避免自己的帐户被锁定,而额外创建高权限帐户来作为后门不要为避免自己的帐户被锁定,而额外创建高权限帐户来作为后门不要为避免自己的帐户被锁定,而额外创建高权限帐户来作为后门不要为避免自己的帐户被锁定,而额外创建高权限帐户来作为后门不要在不要在不要在不要在 IT IT 人员之间共享密码,如果允许多个用户使用管理员帐户,人员之间共享密码,如果允许多个用户使用管理员帐户,人员之间共享密码,如果允许多个用户使用管理员帐户,人员之间共享密码,如果允许多个用户使用管理员帐户,那么一旦发生涉及该帐户的安全事件,审计和责任区分就变得非常那么一旦发生涉及该帐户的安全事件,审计和责任区分就变得非常那么一旦发生涉及该帐户的安全事件,审计和责任区分就变得非常那么一旦发生涉及该帐户的安全事件,审计和责任区分就变得非常困难困难困难困难不要在外部网站上使用单位内部的密码。比如注册不要在外部网站上使用单位内部的密码。比如注册不要在外部网站上使用单位内部的密码。比如注册不要在外部网站上使用单位内部的密码。比如注册InternetInternet上的论上的论上的论上的论坛和网上商店的会员时。因为用户密码往往会与其电子邮件地址存坛和网上商店的会员时。因为用户密码往往会与其电子邮件地址存坛和网上商店的会员时。因为用户密码往往会与其电子邮件地址存坛和网上商店的会员时。因为用户密码往往会与其电子邮件地址存储在一起。只要利用这种存储组合,攻击者就可以确定用户所在的储在一起。只要利用这种存储组合,攻击者就可以确定用户所在的储在一起。只要利用这种存储组合,攻击者就可以确定用户所在的储在一起。只要利用这种存储组合,攻击者就可以确定用户所在的工作单位、使用的用户名(特别是如果用户名是工作单位、使用的用户名(特别是如果用户名是工作单位、使用的用户名(特别是如果用户名是工作单位、使用的用户名(特别是如果用户名是 SMTP SMTP 地址的前地址的前地址的前地址的前缀)及密码。缀)及密码。缀)及密码。缀)及密码。 48防病毒系统防病毒系统l l病毒已经成为最大的安全威胁,为此有必要在企业病毒已经成为最大的安全威胁,为此有必要在企业病毒已经成为最大的安全威胁,为此有必要在企业病毒已经成为最大的安全威胁,为此有必要在企业内全面部署防病毒系统。内全面部署防病毒系统。内全面部署防病毒系统。内全面部署防病毒系统。l l构建有效的防病毒机制,需要遵循以下原则:构建有效的防病毒机制,需要遵循以下原则:构建有效的防病毒机制,需要遵循以下原则:构建有效的防病毒机制,需要遵循以下原则:建立网关,服务器,工作站立体防病毒体系;建立网关,服务器,工作站立体防病毒体系;建立网关,服务器,工作站立体防病毒体系;建立网关,服务器,工作站立体防病毒体系;及时更新防病毒软件本身和病毒特征码;及时更新防病毒软件本身和病毒特征码;及时更新防病毒软件本身和病毒特征码;及时更新防病毒软件本身和病毒特征码;格外关注使用笔记本电脑的用户的防病毒软件更新情况;格外关注使用笔记本电脑的用户的防病毒软件更新情况;格外关注使用笔记本电脑的用户的防病毒软件更新情况;格外关注使用笔记本电脑的用户的防病毒软件更新情况;通过在防火墙和路由器上设置,及时阻止通过网络扩散通过在防火墙和路由器上设置,及时阻止通过网络扩散通过在防火墙和路由器上设置,及时阻止通过网络扩散通过在防火墙和路由器上设置,及时阻止通过网络扩散的病毒;的病毒;的病毒;的病毒;安装专门针对安装专门针对安装专门针对安装专门针对Exchange ServerExchange Server的病毒扫描系统,直接的病毒扫描系统,直接的病毒扫描系统,直接的病毒扫描系统,直接从用户的邮箱里发现和清除病毒;从用户的邮箱里发现和清除病毒;从用户的邮箱里发现和清除病毒;从用户的邮箱里发现和清除病毒;培训用户不要为了加快计算机运行速度而禁用防病毒系培训用户不要为了加快计算机运行速度而禁用防病毒系培训用户不要为了加快计算机运行速度而禁用防病毒系培训用户不要为了加快计算机运行速度而禁用防病毒系统,如果有可能,从防病毒软件设置中禁止用户这么做统,如果有可能,从防病毒软件设置中禁止用户这么做统,如果有可能,从防病毒软件设置中禁止用户这么做统,如果有可能,从防病毒软件设置中禁止用户这么做培训用户不要随意打开不明底细的电子邮件附件,不要培训用户不要随意打开不明底细的电子邮件附件,不要培训用户不要随意打开不明底细的电子邮件附件,不要培训用户不要随意打开不明底细的电子邮件附件,不要随意下载和安装应用软件。随意下载和安装应用软件。随意下载和安装应用软件。随意下载和安装应用软件。49修补程序管理修补程序管理l l只有及时修补操作系统和应用系统的漏洞,才能从根本上保证安全。只有及时修补操作系统和应用系统的漏洞,才能从根本上保证安全。只有及时修补操作系统和应用系统的漏洞,才能从根本上保证安全。只有及时修补操作系统和应用系统的漏洞,才能从根本上保证安全。l l修补程序主要有修补程序主要有修补程序主要有修补程序主要有3 3类:类:类:类:Service Pack Service Pack 即时修复程序或即时修复程序或即时修复程序或即时修复程序或 QFEQFE,Quick Fix EngineeringQuick Fix Engineering(快速修补工程组,(快速修补工程组,(快速修补工程组,(快速修补工程组,QFEQFE)是)是)是)是 Microsoft Microsoft 的一个小组,专门负责编制即时修复程序,针对产品的一个小组,专门负责编制即时修复程序,针对产品的一个小组,专门负责编制即时修复程序,针对产品的一个小组,专门负责编制即时修复程序,针对产品的代码修补程序。即时修复程序经过更严格测试之后被定期添加到的代码修补程序。即时修复程序经过更严格测试之后被定期添加到的代码修补程序。即时修复程序经过更严格测试之后被定期添加到的代码修补程序。即时修复程序经过更严格测试之后被定期添加到 Service Pack Service Pack 中,然后提供给所有用户。中,然后提供给所有用户。中,然后提供给所有用户。中,然后提供给所有用户。安全修补程序:安全修补程序是为消除安全漏洞而设计的。安全修补程序:安全修补程序是为消除安全漏洞而设计的。安全修补程序:安全修补程序是为消除安全漏洞而设计的。安全修补程序:安全修补程序是为消除安全漏洞而设计的。l l部署修补程序的方法主要有:部署修补程序的方法主要有:部署修补程序的方法主要有:部署修补程序的方法主要有:Windows UpdateWindows Update和和和和Automatic UpdateAutomatic UpdateSUSSUSl l软件更新服务(软件更新服务(软件更新服务(软件更新服务(SUSSUS)可以安装在企业内部的某台服务器上,让后)可以安装在企业内部的某台服务器上,让后)可以安装在企业内部的某台服务器上,让后)可以安装在企业内部的某台服务器上,让后SUSSUS服务器服务器服务器服务器从微软的站点下载最新的修补程序,企业网络的计算机将自动从从微软的站点下载最新的修补程序,企业网络的计算机将自动从从微软的站点下载最新的修补程序,企业网络的计算机将自动从从微软的站点下载最新的修补程序,企业网络的计算机将自动从SUSSUS下载并自下载并自下载并自下载并自动安装。动安装。动安装。动安装。脚本脚本脚本脚本l l通过组策略部署计算机开机脚本,使计算机在启动时自动运行脚本,安装修补通过组策略部署计算机开机脚本,使计算机在启动时自动运行脚本,安装修补通过组策略部署计算机开机脚本,使计算机在启动时自动运行脚本,安装修补通过组策略部署计算机开机脚本,使计算机在启动时自动运行脚本,安装修补程序程序程序程序组策略组策略组策略组策略l l组策略具有软件分发的能力,如果得到的修补程序是组策略具有软件分发的能力,如果得到的修补程序是组策略具有软件分发的能力,如果得到的修补程序是组策略具有软件分发的能力,如果得到的修补程序是* *.msi.msi类型,可以通过组类型,可以通过组类型,可以通过组类型,可以通过组策略将该修补程序指派给指定范围内的计算机,如果不是,需要编写相应的策略将该修补程序指派给指定范围内的计算机,如果不是,需要编写相应的策略将该修补程序指派给指定范围内的计算机,如果不是,需要编写相应的策略将该修补程序指派给指定范围内的计算机,如果不是,需要编写相应的* *.zap.zap文件文件文件文件SMSSMS50审核策略审核策略l l通过审核,记录访问者的行为,以发现异常通过审核,记录访问者的行为,以发现异常动作并作为证据保留。动作并作为证据保留。l l一般的审核策略包括:一般的审核策略包括:对于重要的文件开启删除和修改审核,对敏感对于重要的文件开启删除和修改审核,对敏感对于重要的文件开启删除和修改审核,对敏感对于重要的文件开启删除和修改审核,对敏感文件开启读取审核;文件开启读取审核;文件开启读取审核;文件开启读取审核;在域上开启账户登录事件审核,记录用户登录在域上开启账户登录事件审核,记录用户登录在域上开启账户登录事件审核,记录用户登录在域上开启账户登录事件审核,记录用户登录域的活动;域的活动;域的活动;域的活动;在重要服务器上开启登录事件审核,记录从网在重要服务器上开启登录事件审核,记录从网在重要服务器上开启登录事件审核,记录从网在重要服务器上开启登录事件审核,记录从网络上访问该服务器的活动;络上访问该服务器的活动;络上访问该服务器的活动;络上访问该服务器的活动;在在在在SQL ServerSQL Server中审计登录事件;中审计登录事件;中审计登录事件;中审计登录事件;定期对审核记录进行检查。定期对审核记录进行检查。定期对审核记录进行检查。定期对审核记录进行检查。51日志管理日志管理l l日志系统保存了操作系统和应用程序的信息记录,其中包日志系统保存了操作系统和应用程序的信息记录,其中包日志系统保存了操作系统和应用程序的信息记录,其中包日志系统保存了操作系统和应用程序的信息记录,其中包括与安全相关的信息。做为检测入侵的重要证据,日志需括与安全相关的信息。做为检测入侵的重要证据,日志需括与安全相关的信息。做为检测入侵的重要证据,日志需括与安全相关的信息。做为检测入侵的重要证据,日志需要进行妥善的管理。要进行妥善的管理。要进行妥善的管理。要进行妥善的管理。l l一般的日志管理策略包括:一般的日志管理策略包括:一般的日志管理策略包括:一般的日志管理策略包括:足够大的日志存储空间,以记录足够多的日志信息;足够大的日志存储空间,以记录足够多的日志信息;足够大的日志存储空间,以记录足够多的日志信息;足够大的日志存储空间,以记录足够多的日志信息;不应启用日志覆盖;不应启用日志覆盖;不应启用日志覆盖;不应启用日志覆盖;定期的日志转储,转储的日志需要放置在不能被再次修改的存储介定期的日志转储,转储的日志需要放置在不能被再次修改的存储介定期的日志转储,转储的日志需要放置在不能被再次修改的存储介定期的日志转储,转储的日志需要放置在不能被再次修改的存储介质上,如只能写入一次的光盘,并放置在安全位置,同时按照企业质上,如只能写入一次的光盘,并放置在安全位置,同时按照企业质上,如只能写入一次的光盘,并放置在安全位置,同时按照企业质上,如只能写入一次的光盘,并放置在安全位置,同时按照企业安全策略的要求安全策略的要求安全策略的要求安全策略的要求i i,保存足够长的时间;,保存足够长的时间;,保存足够长的时间;,保存足够长的时间;除了操作系统日志外,根据需要开启应用系统的日志,如数据库服除了操作系统日志外,根据需要开启应用系统的日志,如数据库服除了操作系统日志外,根据需要开启应用系统的日志,如数据库服除了操作系统日志外,根据需要开启应用系统的日志,如数据库服务器,邮件服务器等访问日志;务器,邮件服务器等访问日志;务器,邮件服务器等访问日志;务器,邮件服务器等访问日志;保证在日志中记录足够的信息,如用户帐户,计算机名,保证在日志中记录足够的信息,如用户帐户,计算机名,保证在日志中记录足够的信息,如用户帐户,计算机名,保证在日志中记录足够的信息,如用户帐户,计算机名,IPIP地址等;地址等;地址等;地址等;保证计算机之间的时间同步,以准确记录时间发生时间;保证计算机之间的时间同步,以准确记录时间发生时间;保证计算机之间的时间同步,以准确记录时间发生时间;保证计算机之间的时间同步,以准确记录时间发生时间;从软件供应商处获取日志代码含义解读文档;从软件供应商处获取日志代码含义解读文档;从软件供应商处获取日志代码含义解读文档;从软件供应商处获取日志代码含义解读文档;使用日志分析工具协助管理员快速获取有价值的信息使用日志分析工具协助管理员快速获取有价值的信息使用日志分析工具协助管理员快速获取有价值的信息使用日志分析工具协助管理员快速获取有价值的信息 52容错管理容错管理l l对故障和灾难的抵御能力,称为容错。容错管理的对故障和灾难的抵御能力,称为容错。容错管理的对故障和灾难的抵御能力,称为容错。容错管理的对故障和灾难的抵御能力,称为容错。容错管理的目标是尽可能减少各种意外事故造成的企业信息损目标是尽可能减少各种意外事故造成的企业信息损目标是尽可能减少各种意外事故造成的企业信息损目标是尽可能减少各种意外事故造成的企业信息损害。害。害。害。l l一般的容错管理策略包括:一般的容错管理策略包括:一般的容错管理策略包括:一般的容错管理策略包括:使用不间断电源设备,建立后备供电线路;使用不间断电源设备,建立后备供电线路;使用不间断电源设备,建立后备供电线路;使用不间断电源设备,建立后备供电线路;使用磁盘冗余阵列(使用磁盘冗余阵列(使用磁盘冗余阵列(使用磁盘冗余阵列(RAIDRAID),提高数据可能性;),提高数据可能性;),提高数据可能性;),提高数据可能性;使用服务器群集技术,避免服务器失效;使用服务器群集技术,避免服务器失效;使用服务器群集技术,避免服务器失效;使用服务器群集技术,避免服务器失效;对重要的服务器建立后备或辅助服务器,例如建立多台对重要的服务器建立后备或辅助服务器,例如建立多台对重要的服务器建立后备或辅助服务器,例如建立多台对重要的服务器建立后备或辅助服务器,例如建立多台域控制器,通过日志传送建立域控制器,通过日志传送建立域控制器,通过日志传送建立域控制器,通过日志传送建立SQL ServerSQL Server后备服务器后备服务器后备服务器后备服务器等;等;等;等;对局域网网络提供冗余;对局域网网络提供冗余;对局域网网络提供冗余;对局域网网络提供冗余;选择多个选择多个选择多个选择多个ISPISP,建立外部连接冗余;,建立外部连接冗余;,建立外部连接冗余;,建立外部连接冗余;对网络设备(交换机,路由器)和防火墙提供冗余。对网络设备(交换机,路由器)和防火墙提供冗余。对网络设备(交换机,路由器)和防火墙提供冗余。对网络设备(交换机,路由器)和防火墙提供冗余。53备份管理备份管理l l备份是企业信息安全的最后一道防线备份是企业信息安全的最后一道防线备份是企业信息安全的最后一道防线备份是企业信息安全的最后一道防线l l一般的备份策略包括:一般的备份策略包括:一般的备份策略包括:一般的备份策略包括:设计备份计划,在兼顾性能的同时,尽可能缩短备份周设计备份计划,在兼顾性能的同时,尽可能缩短备份周设计备份计划,在兼顾性能的同时,尽可能缩短备份周设计备份计划,在兼顾性能的同时,尽可能缩短备份周期;期;期;期;定期测试备份设备,备份存储介质的可靠性,检查已备定期测试备份设备,备份存储介质的可靠性,检查已备定期测试备份设备,备份存储介质的可靠性,检查已备定期测试备份设备,备份存储介质的可靠性,检查已备份数据的完整性和可用性;份数据的完整性和可用性;份数据的完整性和可用性;份数据的完整性和可用性;划分需要备份数据的优先级;划分需要备份数据的优先级;划分需要备份数据的优先级;划分需要备份数据的优先级;保留同一数据的多个备份;保留同一数据的多个备份;保留同一数据的多个备份;保留同一数据的多个备份;备份磁带远离数据原始位置,避免灾害发生造成同时损备份磁带远离数据原始位置,避免灾害发生造成同时损备份磁带远离数据原始位置,避免灾害发生造成同时损备份磁带远离数据原始位置,避免灾害发生造成同时损失;失;失;失;备份磁带应存储在安全位置,避免非授权访问;备份磁带应存储在安全位置,避免非授权访问;备份磁带应存储在安全位置,避免非授权访问;备份磁带应存储在安全位置,避免非授权访问;制定备份恢复计划,并进行演练。制定备份恢复计划,并进行演练。制定备份恢复计划,并进行演练。制定备份恢复计划,并进行演练。54抵御技术性攻击抵御技术性攻击l l攻击者会企图利用企业网络中的技术漏洞,攻击者会企图利用企业网络中的技术漏洞,以获取对系统的访问并设法提升其权限。以获取对系统的访问并设法提升其权限。 l l主要的技术攻击方法有:主要的技术攻击方法有:会话监听和劫持会话监听和劫持会话监听和劫持会话监听和劫持 DNS DNS 毒化和窃取毒化和窃取毒化和窃取毒化和窃取URL URL 字符串攻击字符串攻击字符串攻击字符串攻击攻击安全帐户管理器文件攻击安全帐户管理器文件攻击安全帐户管理器文件攻击安全帐户管理器文件 缓冲区溢出缓冲区溢出缓冲区溢出缓冲区溢出 拒绝服务攻击拒绝服务攻击拒绝服务攻击拒绝服务攻击 后门攻击后门攻击后门攻击后门攻击 恶意代码恶意代码恶意代码恶意代码 55抵御社会工程攻击抵御社会工程攻击 l l社会工程攻击指利用非技术手段对企业信息社会工程攻击指利用非技术手段对企业信息安全造成破坏,比如:安全造成破坏,比如:伪装成快递公司,物业管理公司等人员进入企伪装成快递公司,物业管理公司等人员进入企伪装成快递公司,物业管理公司等人员进入企伪装成快递公司,物业管理公司等人员进入企业,获取企业内部信息,比如贴在墙上的组织业,获取企业内部信息,比如贴在墙上的组织业,获取企业内部信息,比如贴在墙上的组织业,获取企业内部信息,比如贴在墙上的组织结构图,文印室未被处理的废弃纸张,贴在员结构图,文印室未被处理的废弃纸张,贴在员结构图,文印室未被处理的废弃纸张,贴在员结构图,文印室未被处理的废弃纸张,贴在员工工作隔板上的内部通信录,贴在显示器上的工工作隔板上的内部通信录,贴在显示器上的工工作隔板上的内部通信录,贴在显示器上的工工作隔板上的内部通信录,贴在显示器上的写有用户帐户名称和口令便利帖等等;写有用户帐户名称和口令便利帖等等;写有用户帐户名称和口令便利帖等等;写有用户帐户名称和口令便利帖等等;伪装企业伪装企业伪装企业伪装企业ITIT管理人员打电话给企业员工,索要管理人员打电话给企业员工,索要管理人员打电话给企业员工,索要管理人员打电话给企业员工,索要帐户口令。帐户口令。帐户口令。帐户口令。l l抵御社会工程攻击的最好方法是对企业员工抵御社会工程攻击的最好方法是对企业员工进行安全意识培训,并进行企业内部安全审进行安全意识培训,并进行企业内部安全审核。核。56安全事件响应安全事件响应 l l所有的管理员都希望能防患于未然。然而要想防止所有的管理员都希望能防患于未然。然而要想防止所有的管理员都希望能防患于未然。然而要想防止所有的管理员都希望能防患于未然。然而要想防止所有安全事件是不可能的,所以当安全事件真的发所有安全事件是不可能的,所以当安全事件真的发所有安全事件是不可能的,所以当安全事件真的发所有安全事件是不可能的,所以当安全事件真的发生时,需要确保让它造成的影响最小。可以采取一生时,需要确保让它造成的影响最小。可以采取一生时,需要确保让它造成的影响最小。可以采取一生时,需要确保让它造成的影响最小。可以采取一些预先的的措施以使安全事件的数量和影响减至最些预先的的措施以使安全事件的数量和影响减至最些预先的的措施以使安全事件的数量和影响减至最些预先的的措施以使安全事件的数量和影响减至最小。小。小。小。l l在该阶段,分析案例中伟达公司目前的事件响应机在该阶段,分析案例中伟达公司目前的事件响应机在该阶段,分析案例中伟达公司目前的事件响应机在该阶段,分析案例中伟达公司目前的事件响应机制存在的问题,比如:制存在的问题,比如:制存在的问题,比如:制存在的问题,比如:显然缺乏安全响应机制,也没有时间响应团队;显然缺乏安全响应机制,也没有时间响应团队;显然缺乏安全响应机制,也没有时间响应团队;显然缺乏安全响应机制,也没有时间响应团队;在未经授权的情况下向外部人员求助;在未经授权的情况下向外部人员求助;在未经授权的情况下向外部人员求助;在未经授权的情况下向外部人员求助;在未经授权的情况下允许外部人员进行安全扫描;在未经授权的情况下允许外部人员进行安全扫描;在未经授权的情况下允许外部人员进行安全扫描;在未经授权的情况下允许外部人员进行安全扫描;没有在第一时间记录并通报安全事件的发生;没有在第一时间记录并通报安全事件的发生;没有在第一时间记录并通报安全事件的发生;没有在第一时间记录并通报安全事件的发生;没有进行证据保留等。没有进行证据保留等。没有进行证据保留等。没有进行证据保留等。57安全事件的相应流程安全事件的相应流程l l初步评估,发现安全事件的人员进行初步评估,排除误报初步评估,发现安全事件的人员进行初步评估,排除误报初步评估,发现安全事件的人员进行初步评估,排除误报初步评估,发现安全事件的人员进行初步评估,排除误报可能性;可能性;可能性;可能性;l l内部通报,向整个事件响应小组进行通报,启动处理机制;内部通报,向整个事件响应小组进行通报,启动处理机制;内部通报,向整个事件响应小组进行通报,启动处理机制;内部通报,向整个事件响应小组进行通报,启动处理机制;l l控制损失,采取紧急措施,避免进一步恶化;控制损失,采取紧急措施,避免进一步恶化;控制损失,采取紧急措施,避免进一步恶化;控制损失,采取紧急措施,避免进一步恶化;l l确定攻击类型,以及风险等级;确定攻击类型,以及风险等级;确定攻击类型,以及风险等级;确定攻击类型,以及风险等级;l l确定损失,确定此次安全事件影响范围,评估对企业造成确定损失,确定此次安全事件影响范围,评估对企业造成确定损失,确定此次安全事件影响范围,评估对企业造成确定损失,确定此次安全事件影响范围,评估对企业造成的损失;的损失;的损失;的损失;l l消除风险,防止该安全事件出现在其他系统或者部门;消除风险,防止该安全事件出现在其他系统或者部门;消除风险,防止该安全事件出现在其他系统或者部门;消除风险,防止该安全事件出现在其他系统或者部门;l l保存证据,对受到破坏的主机进行符合法律要求证据保存;保存证据,对受到破坏的主机进行符合法律要求证据保存;保存证据,对受到破坏的主机进行符合法律要求证据保存;保存证据,对受到破坏的主机进行符合法律要求证据保存;l l通知外部机构,如商业伙伴,政府机关;通知外部机构,如商业伙伴,政府机关;通知外部机构,如商业伙伴,政府机关;通知外部机构,如商业伙伴,政府机关;l l恢复受攻击影响系统;恢复受攻击影响系统;恢复受攻击影响系统;恢复受攻击影响系统;l l事件相关资料整理和总结。事件相关资料整理和总结。事件相关资料整理和总结。事件相关资料整理和总结。 58伟达的紧急事件响应(伟达的紧急事件响应(1 1) 事件响应步骤事件响应步骤采取的行动采取的行动初步评估星期一早上十点钟,伟达公司的系统管理员李勇接到公司销售部门的员工张娟的电话,说在访问公司对外Web网站时,发现主页被篡改。李勇是伟达公司的安全安全事件响应小组的成员,公司员工已经经过培训,被要求一旦怀疑发现安全事件,立刻向IT部门报告。李勇接到电话后,立刻访问公司主页,发现确实被人篡改,入侵者留下了恶作剧般的声明,但并没有表明身份和目的。这不是误报。通报事件李勇立刻通过电子邮件通报了他发现的问题,并电话通知了所有可以联系到的安全小组成员。 控制损失伟达公司的安全事件响应策略规定,在确定暴露在Internet上的某台服务器被入侵后,要求立即断开该系统与网络的连接。李勇按照此策略拔掉了网线。但是没有考虑到对企业业务的影响,暂时没有断开整个企业到Internet的连接。确定破坏程度李勇检查了防火墙日志,检查了邮件服务器和数据库服务器,暂时没有发现有入侵痕迹。由于该Web服务器属于独立的工作组,其上存在的用户帐户也没有被用在其他的系统上,基本可以断定该次安全事件只影响到了Web服务器。59伟达的紧急事件响应(伟达的紧急事件响应(2 2)通报事件李勇将其后续操作及检查结果用电子邮件通知了安全事件响应小组的其他成员,并直接联系了安全事件响应小组领导人公司副总经理张杰。张杰指派CIO余明作为事件负责人。余明将协调安全事件响应小组的所有活动及其与外部的信息沟通。余明通知IT 支持小组,告诉他们该 Web 服务器已断开与网络的连接,待问题解决后才能重新连接到网络上。余明还通知了行政管理层和法律顾问。法律顾问建议按既定步骤收集证据。保存证据余明决定根据法律顾问的建议,在对受到入侵的Web服务器进行进一步入侵分析之前进行证据收集。安全事件响应小组中经过培训负责收集法律证据的成员创建了该Web服务器的完全备份。一个备份被保存起来作为以后的法律证据使用。另一个备份被保存起来作为数据恢复中可能用到数据保存。按照安全策略规定,作为法律证据的备份保存在只可写入一次的刻录光盘上,在密封以后与服务器上的硬盘一起放在一个安全的位置。确定攻击的类型合严重程度另一名安全事件响应小组成员王勇, 对该Web服务器运行了MBSA,发现针对IIS多个有重要的漏洞补丁没有打,入侵者可能通过Unicode解码漏洞或者索引服务漏洞成功入侵。对Web服务器的进行HTTP日志分析发现,入侵者使用Unicode漏洞入侵,并记录了入侵者的IP地址。同时使用其他安全检查工具,对帐户,注册表,安全策略进行检查,以确定入侵者是否还进行了其他破坏。王勇也对其他的服务器进行了MBSA的扫描,没有发现其他问题。60伟达的紧急事件响应(伟达的紧急事件响应(3 3)通知外部机构信息沟通人员将此事件相关信息报告给了公安部门。同时,考虑到某些客户可能通过企业Web站点进行合同信息的修改,立刻通知了可能受到影响的客户,建议他们暂时使用传真和电子邮件进行交流。恢复系统但出于安全考虑,安全事件响应小组和 WEB服务器支持小组决定在新硬盘上重新安装操作系统,重新配置Web站点,以确保没有留下可被黑客利用的后门。重新安装了操作系统,配置了IIS后,立刻安装了最新的服务包,安全修复补丁,配置了安全选项,运行了IIS Lockdown,安装了防病毒软件并升级到最新的病毒特征库。王勇找到了最近的Web站点数据文件,并检查不存在病毒,然后还原了数据。安全事件响应小组执行了一次完整的系统漏洞评估,Web服务器被重新连接到网络上,并受到密切监控。61伟达的紧急事件响应(伟达的紧急事件响应(4 4)整理和回顾余明和安全事件响应小组召开了会议,研究了出现漏洞的原因,最后确定Web服务器在最近被重新安装过,但没有安装修补程序。这与明确定义的安全策略是相违背的。 安全事件响应小组认为,此次事件表明,企业安全策略没有被完全遵守,表现在:操作系统重新安装后,系统管理员没有应用修补程序;未经过信息安全部门的批准,使该服务器上线运行。安全事件响应小组建议对相关当事人进行处罚,并在企业内进行安全策略的相关培训。 余明和安全事件响应小组整理了所有的记录资料,以确定针对此事件完成了哪些任务、每项任务所用的时间,以及是谁执行的任务。此信息发送给财务部门,用以根据“公认会计原则”来计算计算机损失的代价。紧急响应小组负责人张杰将确保让公司管理层了解到了该事件的损失,事件发生的原因,以及防止此类事件再次发生的计划。这也是让管理层认识到企业安全策略,以及类似于紧急安全响应小组存在得价值。 小组中适当的成员检查总结了全部的记录资料、得到的经验教训,以及遵守和未遵守的策略,作为档案保存。 采取的相关法律行动的记录资料和步骤通过了公司法律顾问、安全事件响应小组负责人和公司管理层的审查。62整合安全设计方案整合安全设计方案l l简洁的就是最好的简洁的就是最好的l l确保技术,产品之间的兼容性确保技术,产品之间的兼容性l l列出产品,技术应用和部署的时间表列出产品,技术应用和部署的时间表l l建立检查点和里程碑建立检查点和里程碑 l l必要的测试必要的测试63结束结束l l伟达公司非常满意我们提供的这次服务伟达公司非常满意我们提供的这次服务l l安全问题不仅仅是技术问题安全问题不仅仅是技术问题l l从小处着手,就能实现安全从小处着手,就能实现安全l l我们随时准备为您提供服务我们随时准备为您提供服务64更多参考信息更多参考信息l lhttp:/microsoft.com/isaserverl lhttp:/www.toolzz.com/ISAToolzz.html lhttp:/www.isatools.org/l lhttp:/www.isaserver.org/l l如果您需要今天课程的幻灯片资料,请访问如果您需要今天课程的幻灯片资料,请访问:l lhttp:/www.microsoft.com/china/msclub65您的问题您的问题感谢您对网络安全和感谢您对网络安全和ISA ServerISA Server的关注!的关注!您的问题与建议?您的问题与建议?
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号